本帖最后由 寒风不冷 于 2016-5-24 17:57 编辑
0x01:原因 学校布置了写个php留言板的作业,我的土豪基友租了一台服务器,把自己留言板放上去了,因为是新手嘛肯定漏洞百出,我心里就想,嘿嘿一台主机到手了。
0x02:信息收集 Whois就不用搜集了,我同学还是比较了解的(还是比较偏向社工的,毕竟熟人好猜密码) 就看了下服务器的信息,windows 2003的,apache版本不详,php的版本是5.5.12 IP xxxxxx 木有CDN
继续用nmap扫一扫,只运行了基本的服务
然后又去瞅瞅网站,写的挺简单的,后台地址,注册,登录之类的基本都点了一遍(网站根目录没发现phpinfo文件,没物理路径信息很遗憾),思路基本有了,估摸着因该是有注入的,还有既然是留言直接xss打(基本每天都要上来看)
0x03:开撸shell 基本的信息都了解差不多了,开撸!!!先用AWVS和御剑跑了一发,出乎意料,居然只有XSS,注入,未授权之类的都没有,瞬间就蛋疼,还是先留好xss的代码慢慢等吧。可是觉得太慢了,还是手动测试一下注入吧,注册的地方,和一些带查询参数的URL,我都用手工SQLmap(参数基本都试了,等级也提高了)试了。但是都已失败告终。 还发现了一个文件包含漏洞,尝试了远程包含,但是还是没有成功,鸡肋(内容我给10分)
突然想起后台没有验证码,试试用他的生日手机啊进行爆破,看看能不能进后台。随手用admin’测试了下登录框 发现貌似有注入,赶紧SQLMAP跑起来,果然有,心头一万头草泥马奔腾,忘了早点试试登录框(不知为何AWVS没跑出来。。。)
不过遗憾的是没有root权限 不然更方便了,没事不是还有后台吗,咱们后台拿shell也是妥妥的 直接跑出MD5,解了,果然是他名字加上生日,哈哈,早点猜猜多好。心里也是挺激动的,shell马上到手了(传个马子,或者传个图片马再包含),结果当了后台才发现,,由于不完整,没有上传点,就多了回复和删除功能,哭死,一万头草泥马再次奔腾
又回到最初的起点,很烦躁,本来觉得很简单的,却搞成这个样子,算了直接用Hydra爆破3306吧,也不管他是不是添加了外链的root用户,万一成功了呢,结果然并卵。。。就这样在这里卡了好几天。就在烦躁之际,我看见了下面那篇关于包含利用,我赶紧就去找物理路径,几经尝试还是无果。。。蛋疼。过了几天吧,刚好上网站课的时候,看见老师的wamp就想他会不会在服务器也用的wamp,毕竟他是也是跟着老师学的,赶紧去试试,真后悔没早点想到 大神对包含的利用: 这个漏洞主要利用php文件以form-data方式提交请求上传数据时,会生成缓存,包含这个缓存,将一句话写到web目录,需要执行效率很高(这个我就不赘述了,脚本还有原理原文都写得很清楚,我只是单纯利用脚本),现在就先找缓存路径吧,在PHP.ini里有记录(PS:没找到phpinfo文件)
既然可能是wamp,那么网站目录就应该是在wamp/www下,几经尝试终于包含license.txt文件成功,定位了wamp的根路径
那么php.ini就应该是在这里,我们就可以知道缓存文件路径了了
读apache的配置文件都是行的(PS:当时头还晕了,用Burp爆破了apache的版本号,其实从sqlmap返回的信息,读wampmanager.ini都呢个得到的,这个失误就不贴图了) http://www.xxxxx.com/help.php?help=../../bin\apache\apache2.4.9\conf\httpd.conf
因为读不到php.ini得不到具体的缓存文件的tmp目录,但是有apache的配置文件,还有爆出的路径,已经知道物理路径了,我只能猜就是默认的了x:\wamp\tmp 提到这个需要三个条件:包含漏洞,phpinfo(缓存路径我猜的默认先试试),wamp自然是同一磁盘下
然后就用链接里面的java代码尝试写shell,几经尝试都没有成功,但是本身不懂java的网络编程,我就让个学java的学长帮忙看了下,好像改了改小部分代码(好像是因为缓存名的问题,还是重新找的phpinfo),然后就成功写下shell(听学长说和链接里面的代码大同小异,懂java的话可以去连接里面看看,改改就能用,我这不贴了,毕竟非原创代码,而且也不懂java。。。)
0x04:开撸服务器 本来以为秒提的,Wamp一般是administrator权限运行 但是这里居然被降权了,仅仅是mysql的用户组的,没想到他还懂这么多。。。。无语,不过裤子都脱了,菊花决不能放过 数据库没有发现root密码,就算有估计也和wamp一起降权了吧
Tasklist 还发现了TeamViewer
用了获取运行的TeamViewer密码的工具表示没有成功,我开始还以为是没有回显,结果用NC反弹回来也不行,可能是版本号不对吧
但是systeninfo发现基本没打补丁。。。,直接一发本地提权工具ms15-051,还是pr(记不清了)拿下服务器,好蛋疼,终于结束了。。。
0x05:自结 拿shell比较辛苦,花了不少时间,想了想可能是自己思路还不够灵活,心态也没有放好,很多失误,大家见笑了。脑子犯了不少混(没有在包含时根据实际情况想到wamp,没有从sqlmap返回信息中注意apache版本号等~~~)不过下次会注意的,提权的话还是相对比较轻松的 我知道自己很菜,检测脚本都是用的别人写好的,其他方面也有不足,偶尔还需要别人提点,还有很长的路要走,希望能够加入90sec,在90sec这个高手如云的地方默默学习,希望管理员通过,谢谢~_~
=========================== 对于对信息安全感兴趣的大学生降低审核标准,通过。
| 
楼主
